如何才能有效保护企业的数据安全?在WINDOWS系统中我们可以用到EFS加密,这种加密方法是通过企业证书来实现,计算机加入域后可以获得企业证书-公钥,用户加密时会产生一个私钥,公钥和私钥匹配时才能打开数据。在WINDOWS7系统,我们可以用到微软的BitLocker来加密我们的数据,加密的原理就是基于用户的SID,在微软的加密机制中如何确保用户的唯一性?根据用户的SID来获得,只要是新建用户,都会产生新的SID,我们的加密技术也是要求生成的密钥具有唯一性,否则就无法保护数据的安全。
微软的BitLocker加密可以实现全盘加密,也可以单独对某个盘加密,更能对U盘加密,设置密钥访问或是密码访问等方式,对个人用户而言不用单独购买LICENSE就可以加密数据,但由于生成的密钥保存需要用户自己管理,没有单独的备份密钥机制,所以不适合企业级的用户使用。我们所需要的数据加密是可以做到企业管理员恢复的,可以确保加密数据的恢复。目前有这方面的商业软件能够实现数据加密及恢复机制。
我们使用的是一种加密机制,在客户端需加密用户登录之后,在其用户下安装加密软件之后,会根据用户名生成KEY,这个KEY是加密软件用企业证书生产的,通过企业网络上传到企业的加密服务器保存。加密软件生成的KEY会自动备份到服务器上,我们从服务器上可以看到用户KEY信息,包括用户何时加密,在哪些计算机上加密,加密是否成功等信息,商业上的数据加密是要做到可以恢复解密数据。我们接下来要等加密软件对全盘数据开始做加密,这个过程是漫长的,至少要3个小时,加密之后重新启动,我们首先进入的加密软件引导的界面,需要输入我们的企业默认加密密码,然后才开始进入WINDOWS操作系统。
加密的好处,如果不能在规定的次数内正确输入密码,那么硬盘将锁住加密数据,我们用PE工具盘看到的硬盘是空白的,不会显示任何数据,也就是说加密数据之后,我们只能通过输入密码才能进入操作系统。那么如果我们输错密码,或是硬盘出现I/O访问错误时,我们是如何才能把数据完整的恢复出来呢?大家是否还记得之前加密生产的KEY,我们用从服务器上下载这个KEY到U盘,用加密软件专用的PE工具盘引导之后,通过加密软件导入KEY,从而才能打开硬盘数据。
数据加密用到的方法也是企业证书的应用,我们在工作中遇到这样的问题,必须通过找到私钥才能解密数据,所以我们对加密数据要特别谨慎,不能丢失私钥,否则的话加密的数据“神仙也难救”了。
本文转自 zhaiken 51CTO博客,原文链接:http://blog.51cto.com/zhaiken/336284,如需转载请自行联系原作者
